Почти во всех делах самое трудное — начало. Жан Жак Руссо

Сложно представить современное общество без достижений ИТ-индустрии. С одной стороны, развитие информационных технологий позволяет значительно снизить трудоемкость и время выполнения операций, ускорить обмен информацией, поднять на новый уровень все сферы жизни общества. С другой стороны, подобная зависимость связана с большим риском.

Отказаться от использования ИТ в современных условиях невозможно, да и нецелесообразно, положиться на русское «авось», было бы неправильно. В данной ситуации важно четко представлять, чем грозит нарушение реализации тех или иных процессов, как избежать последствий или минимизировать их, то есть управлять рисками.
Именно этой тематике и будет посвящен данный ресурс.

Изо дня в день каждый из нас, переходя дорогу, выбирая, полететь самолетом, поехать поездом или вообще остаться дома, предоставляя персональные данные в банк для получения кредита, выкладывая свои фотографии на сайты типа odnoklassniki.ru, так или иначе управляет рисками.

В повседневной жизни мы не делаем сложных расчетов, в этом просто нет необходимости. Другое дело бизнес. В современных компаниях наиболее ценный актив - информация. В связи с этим актуальными становятся следующие вопросы: какая информация является важной для компании, как ее защитить и сколько на это потратить. Взвешенное решение может быть принято с помощью оценки рисков информационной безопасности.

Существующие стандарты в данной области предлагают алгоритмы оценки в качественных показателях, что позволяет определить наиболее критичные направления, в обязательном порядке требующие внимания и вложения денег. В связи с тем, что большинство российских компаний не может похвастаться высоким уровнем зрелости в вопросах ИБ, достаточным количеством средств, выделяемых на ИБ, и пониманием комплексности проблемы, то качественных оценок на данном этапе вполне достаточно.

Для компаний с более высоким уровнем зрелости, для обоснования необходимости проведения работ и приобретения средств защиты оценок в качественных показателях может быть недостаточно. Тогда лучшей аргументации, чем цифры найти сложно.

Однако следует помнить, что у любой медали две стороны. И прежде чем принять решение, в качественных или количественных показателях оценивать риски, следует четко определить цель проведения оценки, желаемый уровень детализации результатов, а так же принять во внимание наличие ресурсов и уровень зрелости компании.

В дальнейшем на данном ресурсе планирую проанализировать состав и содержание работ по управлению рисками ИБ, более детально рассмотреть подходы к оценке показателей риска, привести обзор существующих стандартов и рекомендаций в данной области.